Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Contaminación de prototipos en un nodo XML de n8n

Fecha de publicación 15/05/2026
Identificador
INCIBE-2026-355
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones de n8n:

  • anteriores a la 1.123.43;
  • desde la 2.0.0-rc.0 hasta la 2.20.6;
  • desde la 2.21.0 hasta la 2.22.0.
Descripción

simonkoeck ha descubierto una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto en el host de n8n.

Solución

Actualizar el producto a las siguientes versiones respectivamente:

  • 1.123.43;
  • 2.22.1;
  • 2.20.7.
Detalle

CVE-2026-44791: un fallo en la implementación del nodo XML de n8n permite a un usuario autenticado con permisos para crear o modificar flujos de trabajo evadir el parche aplicado previamente. Esta vulnerabilidad puede ser combinada con otros nodos para ejecutar código remoto en el host de n8n.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-44791 Crítica No n8n
Listado de referencias
n8n Has an XML Node Prototype Pollution Patch Bypass
Etiquetas